서비스 공급자 개체에 대한 일반 정보 구성
목차
casso126kkr
목차
2
"일반" 페이지를 선택하여 서비스 공급자를 명명하고 SP ID, IDP ID 등의 상세 정보를 제공하십시오. 또한 서비스 공급자에 액세스하기 위한 IP 주소 및 시간 제한을 구성할 수 있습니다.
일반 설정을 구성하려면
- "일반" 설정으로 이동합니다.
- 필수 필드에 주의하면서 필드에 대한 값을 입력합니다.필드 설명을 보려면 "도움말"을 클릭하십시오. 특히 다음 필드에 유의하십시오.
- 인증 URL이 URL은 redirect.jsp 파일을 가리킵니다.Single Sign-On정책으로 redirect.jsp 파일을 보호하십시오. 정책은 보호된 서비스 공급자 리소스를 요청하지만Single Sign-On세션이 없는 사용자에 대한 인증 챌린지를 트리거합니다.
- 차이 시간아이덴티티 공급자의 시스템 클록과 서비스 공급자의 시스템 클록 간의 차이(초)를 지정합니다. 차이 시간은 싱글 사인온과 싱글 로그아웃에 사용됩니다.싱글 사인온의 경우 차이 시간 및 싱글 사인온 유효 기간("SSO" 탭의 "유효 기간" 필드) 값에 따라 어설션 유효 기간이 결정됩니다. 어설션 유효 기간 계산 방법을 검토하면 차이 시간에 대해 자세히 이해할 수 있습니다.싱글 로그아웃의 경우 SLO 유효 기간("SLO" 탭의 "유효 기간" 필드) 및 차이 시간 값에 따라 싱글 로그아웃 요청의 총 유효 시간이 결정됩니다. 싱글 로그아웃 요청 유효 기간 계산 방법을 검토하면 차이 시간에 대해 자세히 이해할 수 있습니다.
Single Sign-On
세션이 없는 사용자 인증가맹 도메인에 서비스 공급자를 추가하는 경우 설정해야 하는 매개 변수 중 하나는 인증 URL 매개 변수입니다.
인증 URL은 redirect.jsp 파일을 가리킵니다. 이 파일은 웹 에이전트 옵션 팩이나
CA Access Gateway
를 설치하는 아이덴티티 공급자 사이트에 설치됩니다. Single Sign-On
정책으로 redirect.jsp 파일을 보호하십시오. 정책은 보호된 서비스 공급자 리소스를 요청하지만 Single Sign-On
세션이 없는 사용자에 대한 인증 챌린지를 트리거합니다.다음 바인딩에는
Single Sign-On
세션이 필요합니다.- 보호된 서비스 공급자 리소스를 요청하는 사용자의 경우HTTP 아티팩트 바인딩을 사용하여 싱글 사인온을 구성하는 경우 영구 세션을 설정하여 SAML 어설션을 세션 저장소에 저장하십시오.
- HTTP POST 바인딩을 사용하는 싱글 사인온의 경우사용자에게 세션이 있어야 하지만 영구 세션이 아니어도 됩니다. 어설션은 브라우저를 통해 서비스 공급자에게 직접 전달됩니다. 어설션이 세션 저장소에 저장되지 않아도 됩니다.
- 싱글 로그아웃의 경우싱글 로그아웃이 사용되도록 설정하는 경우에는 영구 세션이 필요합니다. 사용자가 먼저 서비스 공급자 리소스를 요청하면 세션이 세션 저장소에 저장됩니다. 세션 정보는 나중에 싱글 로그아웃이 실행될 때 필요합니다.
사용자가 인증되어 redirect.jsp 파일에 성공적으로 액세스한 후 세션이 설정됩니다. redirect.jsp 파일이 사용자를 아이덴티티 공급자 웹 에이전트나
CA Access Gateway
로 다시 리디렉션합니다. 그런 다음 Single Sign-On
이 요청을 처리합니다.인증 URL을 보호하는 절차는 다음 배포와 관계없이 동일합니다.
- 웹 에이전트와 동일한 시스템에 설치된 웹 에이전트 옵션 팩
- 웹 서버 프록시에 웹 에이전트가 설치된 응용 프로그램 서버
- 응용 프로그램 서버 에이전트와 함께 설치된 응용 프로그램 서버
- 아이덴티티 공급자에 설치된CA Access Gateway
인증 URL을 보호하도록 정책 구성
인증 URL을 보호하려면
- 관리 UI에 로그인합니다.
- 어설션 당사자 웹 서버에 대해 정의하는 영역에 바인드할 웹 에이전트를 생성합니다. 웹 서버와 FWS 응용 프로그램에 대해 고유한 에이전트 이름을 할당하거나 둘 다에 대해 동일한 에이전트 이름을 사용합니다.
- 소비자 리소스에 액세스하려고 할 때 챌린지가 표시되는 사용자에 대한 정책 도메인을 생성합니다.
- 정책 도메인에 속한 리소스에 액세스할 수 있어야 하는 사용자를 선택합니다.
- 다음 값으로 정책 도메인에 대한 영역을 정의합니다.
- IIS용어설션 당사자 웹 서버에 대한 에이전트
- 리소스 필터웹 에이전트 r6.x QMR 6, r12.0 SP2 이상 및CA Access Gateway에 다음을 입력합니다./siteminderagent/redirectjsp/리소스 필터 /siteminderagent/redirectjsp/는 FWS 응용 프로그램이 자동으로 설정하는 별칭입니다. 별칭 참조는 다음과 같습니다.
- 웹 에이전트(web_agent_home/affwebservices/redirectjsp)
- CA Access Gateway(sps_home/secure-proxy/Tomcat/webapps/affwebservices/redirectjsp)
- 영구 세션SAML 아티팩트 프로필의 경우에만 영역 대화 상자의 "세션" 섹션에 있는 "영구" 확인란을 선택합니다. 영구 세션을 구성하지 않으면 사용자가 소비자 리소스에 액세스할 수 없습니다.
- "확인"을 클릭하여 영역을 저장합니다.
- 영역에 대한 규칙을 생성합니다. "리소스" 필드에서 기본값인 별표(*)를 적용하여 영역에 대한 리소스를 모두 보호합니다.
- 이전 단계에서 만든 규칙이 포함된 어설션 당사자 웹 서버에 대한 정책을 생성합니다.
- 생성하는 어설션의 대상이 되는 사용자 선택 태스크를 완료합니다.
서비스 공급자 가용성에 대한 시간 제한 구성(선택 사항)
서비스 공급자 리소스를 사용할 수 있는 시기에 대한 시간 제한을 지정할 수 있습니다. 시간 제한을 지정하면 리소스에 대한 액세스가 지정된 기간 동안에만 허용됩니다. 사용자가 지정된 기간을 벗어나 리소스에 액세스하려고 하면 아이덴티티 공급자가 SAML 어설션을 생성하지 않습니다.
참고:
시간 제한은 정책 서버가 설치된 서버의 시스템 클록을 기준으로 합니다.시간 제한을 지정하려면
- "일반" 설정에서 시작합니다.페이지의 "제한" 섹션에 있는 "시간" 섹션에서 "설정"을 클릭합니다."시간 제한" 페이지가 표시됩니다.
- 일정을 완료합니다. 이 일정 표는 규칙 개체의 "시간 제한" 표와 같습니다.
- "확인"을 클릭합니다.
시간 제한 일정이 설정되었습니다.
서비스 공급자에 대한 IP 주소 제한 구성(선택 사항)
서비스 공급자에 액세스하기 위해 브라우저가 실행되고 있는 웹 서버의 IP 주소, 범위 주소 또는 서브넷 마스크를 지정할 수 있습니다. 서비스 공급자에 대해 IP 주소를 지정하면 서비스 공급자가 적절한 IP 주소의 사용자만 허용합니다.
IP 주소를 지정하려면
- "일반" 설정에서 시작합니다.페이지의 "제한" 섹션에 있는 "IP 주소" 영역에서 "추가"를 클릭합니다."IP 제한" 페이지가 표시됩니다.
- 추가하고 있는 IP 주소 유형에 대한 옵션을 선택하고 연결된 필드에 해당 주소 유형에 대한 데이터를 입력합니다.참고:IP 주소는 모르지만 주소에 대한 도메인 이름은 알고 있는 경우 "DNS 조회" 단추를 클릭합니다. 이 단추를 클릭하면 "DNS 조회" 페이지가 열립니다. "호스트 이름" 필드에 정규화된 호스트 이름을 입력하고 "확인"을 클릭합니다.
- 단일 호스트--브라우저를 호스트하는 단일 IP 주소를 지정합니다. 단일 IP 주소를 지정하면 사용자가 지정된 IP 주소에서만 서비스 공급자에 액세스할 수 있습니다.
- 호스트 이름--호스트 이름을 사용하여 웹 서버를 지정합니다. 호스트 이름을 지정하면 지정된 호스트의 사용자만 서비스 공급자에 액세스할 수 있습니다.
- 서브넷 마스크--웹 서버에 대한 서브넷 마스크를 지정합니다. 서브넷 마스크를 지정하면 지정된 서브넷 마스크의 사용자만 서비스 공급자에 액세스할 수 있습니다. 이 단추를 선택하면 "주소 및 서브넷 마스크 추가" 대화 상자가 열립니다. 왼쪽 및 오른쪽 화살표 단추를 사용하거나 슬라이더 막대를 클릭한 상태로 끌어서 놓아 서브넷 마스크를 선택합니다.
- 범위--IP 주소 범위를 지정합니다. IP 주소 범위를 지정하면 서비스 공급자가 주소 범위에 속한 IP 주소 중 하나의 사용자만 허용합니다. 시작 및 끝 주소를 입력하여 범위를 결정합니다.
- "확인"을 클릭하여 구성을 저장합니다.
프록시 서버 식별(선택 사항)
사용 중인 네트워크의 클라이언트와 페더레이션 웹 서비스가 있는 시스템 간에 프록시 서버가 있는 경우 URL의 프로토콜 및 기관 부분을 지정하십시오. 구문은
protocol
:authority
입니다.- protocolhttp: 또는 https:
- authority//host.domain.com또는 //host.domain.com:port
예: http://example.ca.com
프록시 서버를 식별하려면
- 구성 마법사의 "일반" 단계에서 시작합니다.페이지의 "고급" 섹션에 있는 "서버" 필드에 URL을 입력합니다.
- 제출을 클릭합니다.